資訊安全管理 - 國立成功大學

資 訊 安 全 管 理
主 講 人 : 李 忠 憲 副 教 授
國 立 成 功 大 學 電 機 工 程 學 系 副 教 授
TEL:(06)2757575 Ext. 62385
E-mail: jsli@mail.ncku.edu.tw
Fax: (06)2345482
1

大
綱
• 前 言
• 安 全 等 級
• 資 訊 安 全 基 本 概 念
• 美 國 HIPAA 法 案
• 結 語
2
Cryptology & Network Security Lab.

安 全 等 級 ( 一 )
•1983 年 美 國 國 防 部 提 出 「 可 信 賴 電 腦
系 統 評 測 標 準 」
•TCSEC 橘 皮 書
•A 類 經 過 驗 證 的 保 護
•B 類 強 制 保 護
•C 類 無 條 件 的 保 護
•D 類 最 小 的 保 護
3
Cryptology & Network Security Lab.

•D 類 最 小 的 保 護
• 最 低 的 一 類
• 早 期 商 用 系 統
安 全 等 級 ( 二 )
•C 類 無 條 件 的 保 護
• 需 要 則 知 道 的 保 護
• C1 任 意 的 安 全 保 護 早 期 的 UNIX 系 統
• C2 存 取 控 制 保 護
4
Cryptology & Network Security Lab.

•B 類 強 制 保 護
安 全 等 級 ( 三 )
•B1 標 籤 安 全 保 護
• B2 結 構 安 全 保 護
• B3 安 全 域 保 護
5
Cryptology & Network Security Lab.

安 全 等 級 ( 四 )
•A 類 經 過 驗 證 的 保 護
• 建 立 在 具 有 結 構 、 規 範 與 資 訊 流 密 閉
的 形 式 模 型 基 礎 之 上
•A1 經 過 驗 證 保 護
• 銀 行 界 一 般 都 使 用 滿 足 C2 級 或 更 高 的
電 腦 系 統
6
Cryptology & Network Security Lab.

安 全 等 級 ( 五 )
•1987 年 的 紅 皮 書 TNI
• 接 手 橘 皮 書 的 所 有 要 求 , 並 且 試 圖 解
決 網 路 環 境 所 帶 來 的 新 挑 戰 ;
• IPv4 and IPv6
•1989 年 德 國 的 綠 皮 書
•1990 年 加 拿 大 準 則
•1991 年 ITSEC
•1992 年 聯 邦 準 則
7
Cryptology & Network Security Lab.

TCSEC ITSEC 共 同 準 則 確 認 等 級
D
EAL1 功 能 測 試
C1 E1 EAL2 結 構 測 試
C2 E2 EAL3 系 統 化 測 試 和 檢 查
B1 E3 EAL4 系 統 化 設 計 、 測 試 和 複 查
B2 E4 EAL5 半 正 規 化 設 計 和 測 試
B3 E5 EAL6 半 正 規 化 查 證 的 設 計 和 測 試
A1 E6 EAL7 正 規 化 查 證 的 設 計 和 測 試
8
Cryptology & Network Security Lab.

資 訊 安 全 基 本 概 念 ( 一 )
• 資 訊 安 全 CIA
• 保 密 性 (Confidentiality)
• 完 整 性 (Integrity)
• 可 用 性 (Availability)
9
Cryptology & Network Security Lab.

資 訊 安 全 基 本 概 念 ( 二 )
• 保 密 性 : 確 保 獲 得 授 權 的 使 用 者 可 以 存 取 資
訊 ;
• 檔 案 的 機 密 性
• 秘 密 、 機 密 及 極 機 密 國 家 機 密
• 時 效 性 宋 子 文 案 件
• 資 訊 傳 輸 的 保 密 性
• 傳 輸 流 量 的 機 密 性
10
Cryptology & Network Security Lab.

資 訊 安 全 基 本 概 念 ( 三 )
• 完 整 性 : 提 供 資 料 的 正 確 性
• 檔 案 的 完 整 性
• 紙 張 簽 名 ヽ 裝 訂 成 冊 ヽ 備 份
• 電 子 文 件 存 取 控 制
• 資 料 傳 輸 的 完 整 性
11
Cryptology & Network Security Lab.

資 訊 安 全 基 本 概 念 ( 四 )
• 可 用 性 : 讓 資 訊 保 持 可 用 的 狀 態
• 備 份
• 異 地 備 援
• 容 錯 轉 移
• 災 難 復 原
12
Cryptology & Network Security Lab.

HIPAA 法 案 簡 介
• 美 國 聯 邦 政 府 於 1996 年 通 過 HIPAA 法 案
• 規 範 資 訊 之 安 全 性 與 機 密 性 並 符 合 個 人 隱 私 需 求
• 管 理 程 序
• 實 體 防 護
• 技 術 安 全 服 務
• 技 術 安 全 機 制
13
Cryptology & Network Security Lab.

• 認 證
管 理 程 序 (1/12)
• 資 訊 系 統 及 網 路 設 計
• 符 合 預 定 安 全 目 標
• 經 內 部 稽 核 或 公 認 機 構 認 證 通 過
14
Cryptology & Network Security Lab.

管 理 程 序 (2/12)
• 與 合 作 組 織 間 的 協 議
• 例 如 醫 院 間 的 轉 診 或 檢 驗 報 告 查 詢 系
統 安 全 保 密 合 約
15
Cryptology & Network Security Lab.

管 理 程 序 (3/12)
• 應 變 計 畫
• 要 有 事 故 應 變 程 序 步 驟
• 2003.03.01 阿 里 山 小 火 車 事 件
• 2003.03 中 旬 的 SARS 事 件 法 定 傳 染 病
• 如 停 電 或 火 災 等 臨 時 事 變
• 誰 來 指 揮 ;
• 定 期 測 驗 ;
16
Cryptology & Network Security Lab.

管 理 程 序 (4/12)
• 處 理 記 錄 的 正 式 機 制
• 關 於 處 理 例 行 與 非 例 行 醫 療 資 訊 之 資
料 搜 集 、 操 作 、 儲 存 、 散 播 與 控 制 之
政 策 與 程 序
• 記 載 於 正 式 文 件
17
Cryptology & Network Security Lab.

管 理 程 序 (5/12)
• 使 用 者 權 限
• 掛 號 人 員 病 患 之 基 本 資 料
• 醫 師 人 員 病 歷 資 料
• 病 患 個 人 資 料
18
Cryptology & Network Security Lab.

• 內 部 稽 核
管 理 程 序 (6/12)
• 系 統 活 動 記 錄 之 內 部 稽 核 機 制
• 程 序
19
Cryptology & Network Security Lab.

• 人 員 安 全
管 理 程 序 (7/12)
• 保 留 完 整 授 權 記 錄
• 確 保 授 予 使 用 者 適 當 的 權 限
• 離 職 員 工 的 權 限 移 除
• 確 保 系 統 使 用 者 接 受 與 安 全 常 識 有 關
之 訓 練
20
Cryptology & Network Security Lab.

• 安 全 結 構 管 理
管 理 程 序 (8/12)
• 完 整 的 文 件 說 明 與 記 錄
• 安 裝 軟 硬 體 設 備 測 試 系 統 安 全 功 能
• 測 試 安 全 機 制
• 偵 測 電 腦 病 毒
21
Cryptology & Network Security Lab.

管 理 程 序 (9/12)
• 安 全 事 件 處 理 程 序
• 事 先 規 劃 發 生 安 全 侵 害 時 的 報 告 及 反
應 程 序
• 如 民 雄 鄉 公 所 資 安 事 件 處 理 方 式
22
Cryptology & Network Security Lab.

管 理 程 序 (10/12)
• 安 全 管 理 程 序
• 建 立 、 管 理 並 監 督 與 預 防 機 制 及 發 生
安 全 侵 害 時 之 封 鎖 、 修 正 與 損 壞 分 析
有 關 之 政 策 讓 損 失 降 到 最 輕
23
Cryptology & Network Security Lab.

管 理 程 序 (11/12)
• 結 束 程 序
• 員 工 離 職 時
• 更 換 門 鎖 及 門 禁 密 碼
• 移 除 該 員 工 之 系 統 使 用 權 限
• 移 除 該 使 用 者 的 帳 號
24
Cryptology & Network Security Lab.

• 訓 練
管 理 程 序 (12/12)
• 定 期 宣 導 安 全 管 理
• 訓 練 使 用 者 , 加 強 其 防 毒 與 個 人 密 碼
管 理 知 識
25
Cryptology & Network Security Lab.

管 理 程 序 (12/12B)
• 文 宣 海 報 之 標 題
• 常 見 的 員 工 錯 誤 : 密 碼 寫 下 或 者 共 用 ;
• 常 見 的 失 誤 : 社 交 工 程 ;
• 重 要 的 安 全 資 訊 : 當 有 可 疑 的 安 全 事 件 時 應
該 聯 絡 誰 ;
• 當 前 的 安 全 主 題 : 防 毒 或 遠 端 存 取 安 全
• 可 以 幫 助 員 工 的 議 題 : 如 何 保 護 可 攜 式 電
腦 ;
26
Cryptology & Network Security Lab.

• 實 體 防 護
實 體 防 護
• 在 維 護 資 料 之 一 致 性 、 機 密 性 與 可 用 性
• 指 定 安 全 責 任
• 媒 體 控 管
• 實 體 使 用 控 制
• 工 作 站 管 理 政 策
27
Cryptology & Network Security Lab.

• 指 定 安 全 責 任
實 體 防 護 (1/4)
• 建 立 管 理 階 層 之 資 料 保 護 、 管 理 與 監 督 職
責
28
Cryptology & Network Security Lab.

• 媒 體 控 管
實 體 防 護 (2/4)
• 軟 硬 體 的 安 裝 / 移 除
• 資 料 備 份
• 資 料 儲 存 及 處 置
• 記 載 於 正 式 文 件
29
Cryptology & Network Security Lab.

實 體 防 護 (3/4)
• 實 體 使 用 控 制
• 災 難 復 原
• 緊 急 處 理 模 式
• 設 備 控 制
• 設 施 安 全 計 畫
• 授 權 確 認 機 制
• 設 備 維 修 記 錄
30
Cryptology & Network Security Lab.

實 體 防 護 (4/4)
• 工 作 站 管 理 政 策
• 依 功 能 性 質 安 裝 適 當 的 工 作 站
• 防 止 他 人 未 經 授 權 使 用 其 他 功 能
31
Cryptology & Network Security Lab.

技 術 安 全 服 務
• 技 術 安 全 服 務
• 除 維 護 資 料 之 一 致 性 、 機 密 性 與 可 用 性 之 外 , 還 包 括
保 護 、 控 制 及 監 督 使 用 資 訊 的 程 序
• 使 用 權 限 控 制
• 稽 核 控 制
• 授 權 控 制
• 資 料 確 認
• 實 體 確 認
32
Cryptology & Network Security Lab.

技 術 安 全 服 務 (1/5)
• 使 用 權 限 控 制
• 依 使 用 者 來 區 分
• 病 人 、 掛 號 人 員 、 藥 師 或 者 醫 師
• 依 職 務 區 分
• 主 治 醫 師 、 住 院 醫 師 、 護 士 …
33
Cryptology & Network Security Lab.

• 稽 核 控 制
技 術 安 全 服 務 (2/5)
• 資 料 查 詢 、 登 錄 、 更 改 或 刪 除 之 機 制
34
Cryptology & Network Security Lab.

• 授 權 控 制
技 術 安 全 服 務 (3/5)
• 實 體 確 認
• 自 動 登 出 帳 號
• 使 用 者 唯 一 識 別 碼
35
Cryptology & Network Security Lab.

• 資 料 確 認
技 術 安 全 服 務 (4/5)
• 避 免 資 料 未 經 許 可 或 授 權 之 更 動
• 避 免 資 料 未 經 許 可 或 授 權 之 刪 除
• 建 立 資 料 確 認 機 制
36
Cryptology & Network Security Lab.

• 實 體 確 認
技 術 安 全 服 務 (5/5)
• 為 避 免 冒 名 頂 替 情 況 發 生
• 如 利 用 自 然 人 憑 證 、IC 卡 系 統 與 微 軟 系 統
結 合 , 達 到 實 體 認 證 的 效 果
37
Cryptology & Network Security Lab.

• 技 術 安 全 機 制
技 術 安 全 機 制
• 建 立 防 範 透 過 網 路 未 授 權 使 用 資 料 之 程 序
• 一 致 性 控 制
• 訊 息 確 認
• 使 用 權 控 制 或 加 密
38
Cryptology & Network Security Lab.

結
論
• 做 好 資 訊 安 全 的 防 護 , 降 低 遭 受 駭 客 攻
擊 損 失
• 常 注 意 所 用 軟 體 的 更 新 及 資 訊 安 全 相 關
的 訊 息
39
Cryptology & Network Security Lab.